2020移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個(gè)人信息自評(píng)指南

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集使用個(gè)人信息自評(píng)估指南2020IVIV目 錄TOC\o"1-2"\h\z\u評(píng)估一是公收使用人息規(guī)則 1否開私策收集用則 1否示戶讀私政等集用則 1私策收使規(guī)則否于問(wèn) 1私策收使規(guī)則否于讀 2開收使規(guī)是否整 2評(píng)估二是明收使用人息目、式和圍 4否一出集用個(gè)信的的方、范等 4集用人息目的方、圍生化時(shí)否知戶 4否步知請(qǐng)開權(quán)和求供人感信的的 5集用則否于理解 5評(píng)估三是征用同意才集用人息 6集人息打可收個(gè)信權(quán)前否征用同意 6戶確示同收集是仍集人息 6戶確示同收集是頻征用同意干用正使用 6際集個(gè)信是否出戶權(quán)圍 7否默選同隱私策非示式求用同意 7否經(jīng)戶意改其置可集人息權(quán)狀態(tài) 8在向送息形的否供定推信息選項(xiàng) 8否不當(dāng)式導(dǎo)用同收個(gè)信息 8否用提撤同意集人息途、方式 8是違其聲收集用則 9評(píng)估四是遵必原則僅集其供服務(wù)關(guān)個(gè)信息 10否集業(yè)功無(wú)關(guān)個(gè)信息 10戶否拒收非必信或開必權(quán)限 10否非當(dāng)式迫收用個(gè)信息 10集人息頻是否出務(wù)能際要 11評(píng)估五是經(jīng)戶意后向人供人息 12他提個(gè)信前是征用同意 12接的三應(yīng)提供人息是經(jīng)戶同意 12評(píng)估六是提刪或更個(gè)信功，公布訴舉方等息 13否供效注用戶號(hào)能 13否供效更或刪個(gè)信途徑 13否立公個(gè)信息全訴舉渠道 14PAGEPAGE10評(píng)估點(diǎn)一：是否公開收集使用個(gè)人信息的規(guī)則是否公開隱私政策等收集使用規(guī)則等界注1：詳見(jiàn)2019年國(guó)家互聯(lián)網(wǎng)信息辦公室令（第4號(hào)）《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》。兒童的個(gè)人信息保護(hù)規(guī)則。是否提示用戶閱讀隱私政策等收集使用規(guī)則在App注：例如可采用通過(guò)彈窗、突出鏈接等主動(dòng)方式提示用戶閱讀隱私政策。注：例如采用與背景顏色相近的字體、刻意縮小字號(hào)、彈出鍵盤遮擋、置于邊緣等為不明顯方式展示隱私政策鏈接。隱私政策等收集使用規(guī)則是否易于訪問(wèn)4含）（戶隨時(shí)訪問(wèn)和獲取，避免僅在注冊(cè)/登錄界面展示隱私政策鏈接，或只能以咨詢客服等方式查找隱私政策等情形。注1：例如通過(guò)“我--設(shè)置--關(guān)于”或者“我的--設(shè)置--隱私”等用戶熟悉路徑展示隱私政策，不頻繁變更展示隱私政策的路徑。注2：在首次展示隱私政策時(shí)，宜說(shuō)明查找隱私政策的方法、路徑。注：如果因展示條件等特殊原因使用用戶協(xié)議、用戶須知等文件描述個(gè)人信息收集使用規(guī)則，則盡可能顯著標(biāo)識(shí)并以連續(xù)篇幅呈現(xiàn)。隱私政策等收集使用規(guī)則是否易于閱讀注1：例如可采取與App其他界面等同的樣式。注2：例如文本字號(hào)過(guò)小、顏色與背景色相近、行間距過(guò)密、字跡模糊、列寬大于手機(jī)屏幕等易造成閱讀困難。公開的收集使用規(guī)則是否完整對(duì)App方式。注：詳見(jiàn)本《實(shí)踐指南》2.1節(jié)。（（注：如部分業(yè)務(wù)功能不涉及用戶畫像、個(gè)性化展示，可在規(guī)則中明確說(shuō)明。識(shí)。注：例如可采用字體加粗、標(biāo)星號(hào)、下劃線、斜體、不同顏色等顯著標(biāo)識(shí)方式。對(duì)以下用戶權(quán)利和相關(guān)操作方法進(jìn)行說(shuō)明：①個(gè)人信息查詢；注：本節(jié)相關(guān)定義和內(nèi)容可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》5.5節(jié)。評(píng)估點(diǎn)二：是否明示收集使用個(gè)人信息的目的、方式和范圍是否逐一列出收集使用個(gè)人信息的目的、方式、范圍等注：業(yè)務(wù)功能通常是指App為面向用戶的具體使用需求所提供的一類完整的上購(gòu)物、短視頻、快遞物流、餐飲外賣、交通票務(wù)、婚戀相親、房屋租售、求職招聘、網(wǎng)絡(luò)借貸等。使用Cookie等同類技術(shù)（包括腳本、Clickstream、Web信標(biāo)、FlashCookieWeb（如方式。注：例如可采用隱私政策、彈窗提示、文字備注、文本鏈接等方式說(shuō)明。戶注：例如可采用更新隱私政策等收集使用規(guī)則并以推送消息、郵件、彈窗、紅點(diǎn)提示等方式提醒用戶閱讀發(fā)生變化的條款。是否同步告知申請(qǐng)打開權(quán)限和要求提供個(gè)人敏感信息的目的注1：常見(jiàn)可收集個(gè)人信息權(quán)限類型有：iOS系統(tǒng):定位、通訊錄、日歷、提醒事項(xiàng)、照片、麥克風(fēng)、相機(jī)、健康等；Android系統(tǒng):日歷、通話記錄、相機(jī)、通訊錄、位置、麥克風(fēng)、電話、傳感器、短信、存儲(chǔ)等。注2：例如可采用彈窗提示、用途描述等顯著方式告知。注1：個(gè)人敏感信息定義見(jiàn)GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》3.2節(jié)。注2：例如可采用彈窗提示、用途描述等顯著方式告知。收集使用規(guī)則是否易于理解構(gòu)混亂等易造成用戶難以理解。評(píng)估點(diǎn)三：是否征得用戶同意后才收集使用個(gè)人信息收集個(gè)人信息或打開可收集個(gè)人信息權(quán)限前是否征得用戶同意注：例如提供“退出”“上一步”“關(guān)閉”“取消”的按鈕等方式供用戶作出不同意的選項(xiàng)。限。注1：例如用戶首次使用App時(shí)，在未得知收集個(gè)人信息的目的并作出同意前，App就開始收集個(gè)人信息的行為屬于未征得用戶同意收集個(gè)人信息。注2：相關(guān)定義和內(nèi)容可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》5.4節(jié)。Cookie用戶明確表示不同意收集后是否仍收集個(gè)人信息以任何形式收集該類個(gè)人信息或打開該類可收集個(gè)人信息權(quán)限。正常使用App48次）App（如48小時(shí)內(nèi)詢問(wèn)超過(guò)一次）權(quán)限。注：為支持App正常運(yùn)行，或用戶主動(dòng)選擇使用的某一具體功能觸發(fā)征得同意的動(dòng)作，不屬于頻繁干擾情形。例如用戶拒絕授權(quán)“相機(jī)”權(quán)限后的48小時(shí)內(nèi)，主動(dòng)選擇使用拍攝、掃碼等功能時(shí)，App再次申請(qǐng)打開該權(quán)限的情形不屬于頻繁干擾。實(shí)際收集的個(gè)人信息是否超出用戶授權(quán)范圍收集使用個(gè)人信息的過(guò)程需與其所聲明的隱私政策等收集使使用個(gè)人信息的權(quán)限等與隱私政策等收集使用規(guī)則中相關(guān)內(nèi)是否以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意通過(guò)設(shè)置“”“注冊(cè)”“”注：隱私政策等收集使用規(guī)則未發(fā)生變化時(shí)無(wú)需反復(fù)征求用戶同意。如App更新后，隱私政策無(wú)變化時(shí)，無(wú)需再次征求用戶同意隱私政策。是否未經(jīng)用戶同意更改其設(shè)置的可收集個(gè)人信息權(quán)限狀態(tài)注：例如未經(jīng)用戶同意，在更新升級(jí)后，將用戶設(shè)置的可收集個(gè)人信息權(quán)限恢復(fù)到默認(rèn)狀態(tài)，或?qū)⒂脩粢殃P(guān)閉的使用通訊錄匹配好友等功能重新打開。存在定向推送信息情形的是否提供非定向推送信息的選項(xiàng)（注：相關(guān)定義和內(nèi)容可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》7.5節(jié)。是否以不正當(dāng)方式誤導(dǎo)用戶同意收集個(gè)人信息注：例如App提示用戶打開通訊錄權(quán)限以參與紅包、金幣、抽獎(jiǎng)等活動(dòng)。事實(shí)上，通訊錄權(quán)限與上述活動(dòng)之間毫無(wú)關(guān)聯(lián)，App誘騙用戶打開通訊錄權(quán)限后，立即上傳用戶通訊錄信息，并將該類信息用于發(fā)送商業(yè)廣告或其它目的。是否向用戶提供撤回同意收集個(gè)人信息的途徑、方式策等收集使用規(guī)則中予以明確。App所必需。注1：相關(guān)定義和內(nèi)容可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》8.4節(jié)。App銷賬號(hào)等方式執(zhí)行。是否違反其所聲明的收集使用規(guī)則開展個(gè)人信息處理活動(dòng)需嚴(yán)格遵循所公開的隱私政策等收集評(píng)估點(diǎn)四：是否遵循必要原則，僅收集與其提供的服務(wù)相關(guān)的個(gè)人信息是否收集與業(yè)務(wù)功能無(wú)關(guān)的個(gè)人信息用戶是否可拒絕收集非必要信息或打開非必要權(quán)限收集與業(yè)務(wù)功能相關(guān)但非必要的個(gè)人信息或申請(qǐng)打開相關(guān)但不將同意收集其他業(yè)務(wù)功能所需的個(gè)人信息或同意打開其他注1：必要信息指與業(yè)務(wù)功能直接相關(guān)的個(gè)人信息，缺少該個(gè)人信息則無(wú)法其業(yè)務(wù)特點(diǎn)，參考該標(biāo)準(zhǔn)相關(guān)定義和理念自行分析。注2：相關(guān)內(nèi)容和實(shí)踐案例可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》5.3節(jié)及其附錄C。是否以非正當(dāng)方式強(qiáng)迫收集用戶個(gè)人信息能收集使用個(gè)人信息的前提條件。人信息。不以捆綁方式強(qiáng)制要求用戶一次性同意打開多個(gè)可收集個(gè)人注：例如將安卓版App的targetSdkVersion值設(shè)置低于23，通過(guò)聲明機(jī)制，在安裝App時(shí)要求用戶一次性同意打開多個(gè)可收集個(gè)人信息權(quán)限屬于捆綁方式。收集個(gè)人信息的頻度是否超出業(yè)務(wù)功能實(shí)際需要在App未打開或處于后臺(tái)運(yùn)行狀態(tài)時(shí)，不收集用戶個(gè)人信息，除非業(yè)務(wù)功能需要后臺(tái)運(yùn)行時(shí)繼續(xù)提供服務(wù)，如導(dǎo)航功能等。注：在用戶主動(dòng)關(guān)閉App后，未經(jīng)用戶同意不采用自啟動(dòng)、關(guān)聯(lián)啟動(dòng)方式收集個(gè)人信息。注：例如信息查詢類App，在用戶向第三方應(yīng)用提交相關(guān)個(gè)人信息時(shí)，截留用戶個(gè)人信息并上傳至其后端服務(wù)器的行為屬于私自截留個(gè)人信息。評(píng)估點(diǎn)五：是否經(jīng)用戶同意后才向他人提供個(gè)人信息向他人提供個(gè)人信息前是否征得用戶同意（如注：“匿名化”的定義可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》3.14節(jié)。向接入的第三方應(yīng)用提供個(gè)人信息前是否經(jīng)用戶同意如App除外。App注：第三方接入管理相關(guān)內(nèi)容可參考GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》9.7節(jié)。評(píng)估點(diǎn)六：是否提供刪除或更正個(gè)人信息功能，或公布投訴、舉報(bào)方式等信息是否提供有效的